PaperCut Print Deploy CVE-2026-6645 : élévation locale SYSTEM via PATH hijacking

Le CERT-FR a mis à jour le 22 juin 2026 l'avis CERTFR-2026-AVI-0789, qui répercute le bulletin de l'éditeur PaperCut sur CVE-2026-6645 — une élévation de privilèges locale dans le composant pc-printer-updater.exe du client PaperCut Print Deploy pour Windows. Un attaquant non privilégié sur le poste, capable de planter un binaire dans un répertoire du PATH recherchable avant le chemin légitime, déclenche l'exécution de code arbitraire avec les privilèges SYSTEM. Score communautaire CVSS 7.0 (High) chez VulDB. Correctif intégré au client Print Deploy v2699, publié par PaperCut au journal des vulnérabilités.

Le bug, techniquement

pc-printer-updater.exe est exécuté avec des privilèges élevés sur le poste client. Pendant l'une de ses validations internes, il invoque un utilitaire système annexe sans en spécifier le chemin absolu. Windows tombe alors sur l'ordre de recherche par défaut du PATH : si l'attaquant peut écrire dans un répertoire interrogé avant celui de l'utilitaire légitime, il y place un exécutable du même nom, et pc-printer-updater.exe l'exécute.

Le binaire planté hérite du contexte SYSTEM. Pour un attaquant déjà présent sur la machine en compte utilisateur standard, c'est un chemin direct vers la compromission complète du poste : persistance, désactivation des outils de défense, ouverture de session à distance, le tableau habituel post-élévation. Le rapport d'origine est attribué à Alex F. (JET Services).

Versions concernées

D'après l'avis CERT-FR CERTFR-2026-AVI-0789 et le journal sécurité de PaperCut :

• PaperCut Print Deploy Client (Windows, macOS, Linux) antérieurs à v2699 — vulnérables.
• Print Deploy Client v2699 et ultérieurs — corrigés.

À noter : la racine de la vulnérabilité est spécifiquement Windows (recherche d'exécutable via PATH), mais PaperCut a publié v2699 simultanément pour les trois plateformes via l'historique de versions Print Deploy. Pas de versions intermédiaires correctives ni de workaround documenté côté éditeur — la mise à jour est la voie unique.

Statut d'exploitation

Au moment de l'avis CERT-FR du 22 juin, aucune exploitation publique en conditions réelles n'est documentée par PaperCut, le CERT-FR ou les chercheurs tiers. La CVE a été publiée au catalogue MITRE le 22 juin 2026, après réservation le 20 avril. Aucun PoC public n'est référencé à ce jour, mais le motif d'attaque — binary planting dans le PATH — est suffisamment bien connu pour qu'un attaquant local le reproduise sans guide. Considérer ce délai de grâce comme une fenêtre de patching, pas comme un blanc-seing.

Que faire

1. Inventaire. Identifier tous les postes Windows qui hébergent PaperCut Print Deploy Client antérieur à v2699. Le composant s'installe via le serveur Print Deploy et se distribue souvent automatiquement — votre console d'administration PaperCut est la source de vérité, pas l'inventaire AD seul.
2. Déployer la v2699 sur les flottes concernées. PaperCut publie le client à l'historique Print Deploy ; la mise à jour passe par votre Print Deploy Server, qui distribue automatiquement la nouvelle version aux postes au prochain check-in.
3. Vérifier le déploiement effectif côté postes. Sur Windows, contrôler la version de pc-printer-updater.exe (clic droit → Propriétés → Détails) sur un échantillon représentatif. La distribution automatique a souvent des angles morts (machines hors ligne longue durée, profils itinérants, parc enseignement vacances).
4. Durcir les permissions sur le PATH comme mesure défensive en profondeur, indépendamment de ce CVE. Aucun répertoire du PATH système ne doit être en écriture pour les utilisateurs non administrateurs. Une vérification rapide via PowerShell sur un poste type suffit à repérer les dérives.
5. Auditer les hôtes des serveurs Print Deploy. Le client est le périmètre exposé, mais la chaîne d'administration (PaperCut Application Server, Print Deploy Server) reste hors scope de cette CVE — vérifier néanmoins qu'aucune autre alerte PaperCut récente du journal sécurité ne s'applique à votre version serveur.
6. Postes administrés en environnement scolaire ou collectivité : prévoir une fenêtre de redémarrage, le client Print Deploy reprend généralement la mise à jour au prochain logon — éviter les pousser en plein examen ou en pleine session de paye.

Contexte

PaperCut est une cible récurrente en environnement éducation et collectivité, où le parc d'imprimantes est typiquement géré via Print Deploy ou MF/NG. Le précédent retentissant — CVE-2023-27350, exécution de code à distance non authentifiée sur les serveurs MF/NG, ajoutée au catalogue CISA KEV en avril 2023 — a alimenté des intrusions avec accès initial pendant plusieurs mois, parce que les correctifs ont mis du temps à atteindre les déploiements en production. Le motif est connu de tout RSSI qui gère un parc PaperCut : les composants côté serveur reçoivent les patches rapidement, les clients beaucoup moins.

CVE-2026-6645 ne joue pas dans la même cour qu'une RCE non authentifiée. C'est une élévation locale, dépendante d'un attaquant déjà présent sur la machine. Mais en environnement enseignement secondaire ou supérieur — typique du parc PaperCut français — la barre « compte utilisateur sur un poste partagé » est extrêmement basse. Un étudiant qui veut désactiver le filtrage web ou un agent qui veut installer un logiciel non approuvé n'a pas besoin de plus pour atteindre SYSTEM. Le ticket de support qui en résulte coûte plus cher que la nuit de déploiement v2699 qui l'aurait évité.

Pour les opérateurs en périmètre NIS2, l'avis CERTFR-2026-AVI-0789 est désormais la référence à citer en cas d'audit : la mise à jour est documentée, le délai de traitement aussi.